استاندارد ISO 15408 که با عنوان Common Criteria هم شناخته میشود، استانداردی بینالمللی برای ارزیابی امنیتی انواع محصولات فناوری اطلاعات است. در این استاندارد، مولفههای امنیتی که برمبنای آنها میتوان الزامات امنیتی یک محصول فناوری اطلاعات را شناسایی و تشریح کرد، آورده شده است. این مولفهها شامل کارکردهای امنیتی ضروری است که میبایست در یک محصول فناوری اطلاعات وجود داشته باشد. همچنین نحوه ارزیابی محصول و تضمین آنکه این کارکردها در محصول وجود دارند نیز در استاندارد آورده شده است. برمبنای این استاندارد یک محصول را میتوان در 7 سطح تضمین مختلف (EAL) ارزیابی کرد که هر چه این سطح افزایش یابد، تضمین امنیت در محصول نیز افزایش مییابد و نوع ارزیابیها و سطح جزئیات آن نیز افزایش خواهد یافت. مرکز مدیریت راهبردی افتا، محصولات فناوری اطلاعات را برمبنای این استاندارد و در سطح EAL1، ارزیابی میکند.
نسخه جدید استاندارد ISO 15408 که در سال 2022 منتشر شد، مشتمل بر 5 پارت است که عناوین آنها به شرح زیر است:
- Part 1: Introduction and general model
- Part 2: Security functional components
- Part 3: Security assurance components
- Part 4: Framework for the specification of evaluation methods and activities
- Part 5: Pre-defined packages of security requirements
شرکت امینرای جهت ارزیابی امنیتی محصولات فناوری اطلاعات با استاندارد فوق و دریافت گواهی مربوطه از مرکز افتا، مشاورههای لازم جهت آشنایی با استاندارد ISO 15408 و فرایند اخذ گواهی از مرکز افتا و ارائه نکات پیادهسازی مولفههای امنیتی، برای شرکتهایی که این فرایند را آغاز کردهاند و یا میخواهند شروع کنند، فراهم میکند.
